先日、ある団体の依頼により情報セキュリティに関するセミナーを行ったのですが、その際にとてもビックリされたのが、インターネットバンキングのフィッシング詐欺に引っかかった際には、ワンタイムパスワードを使う契約をしていても被害を防げないですよ、という話です。
インターネットバンキングを契約すると、できればワンタイムパスワードを使う契約してくださいと銀行側から頼まれると思います。契約するとトークンと呼ばれる小さな電卓のようなワンタイムパスワードを発行するデバイスが送られてきて、振込などをする際には、毎回表示されたワンタイムパスワードを入力する必要があります。それによって、もしインターネットバンキングのIDとパスワードを詐取されたとしても犯罪者に勝手に振込等をされないという認識をもっている方も多いと思います。しかし、今どきのフィッシングサイトはワンタイムパスワードもまとめて詐取します。例えば、銀行を装ったメールに「本人確認のため、こちらのリンク先からインターネットバンキングにログインしてください」と書いてあり、銀行のサイト風に作ったフィッシングへのリンクが貼られているとします。騙された利用者が、そのサイトへのリンクをクリックすると、インターネットバンキングのID、ログインパスワードを求められ、最後に認証のためにワンタイムパスワードを入力してくださいと求められます。入力した内容は、リアルタイムに本物の銀行のインターネットバンキングサイトへ送られ、不正な振込等の出勤をされてしまうということになります。
こちらのESET社の記事がわかりやすいと思います。
https://www.eset.com/jp/blog/pearls-of-wisdom/why-2factor-authentication-can-be-broken/
銀行から何か確認したいことがあるとしても、メールでリンクを送ってくるなんてことはありませんので、絶対にひっかからないよう注意しましょう。メールアドレスやリンク先のURLを偽装するなんてことは簡単にできてしまします。